Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Linux (CVE-2026-23285)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
25/03/2026
Última modificación:
22/05/2026

Descripción

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drbd: corrección de desreferencia de puntero nulo en error de lectura local<br /> <br /> En drbd_request_endio(), READ_COMPLETED_WITH_ERROR se pasa a __req_mod() con un peer_device NULO:<br /> <br /> __req_mod(req, what, NULL, &amp;amp;m);<br /> <br /> El gestor de READ_COMPLETED_WITH_ERROR luego pasa incondicionalmente este peer_device NULO a drbd_set_out_of_sync(), que lo desreferencia, causando una desreferencia de puntero nulo.<br /> <br /> Esto se corrige obteniendo el peer_device a través de first_peer_device(device), coincidiendo con cómo drbd_req_destroy() maneja la misma situación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.4 (incluyendo) 6.6.130 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.7 (incluyendo) 6.12.77 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.13 (incluyendo) 6.18.17 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.19 (incluyendo) 6.19.7 (excluyendo)
cpe:2.3:o:linux:linux_kernel:7.0:rc1:*:*:*:*:*:*